CSRF保護バリデーター

このスキルは、CSRF保護バリデーターのタスクに対する自動化されたサポートを提供します。

概要

このスキルにより、Claude はウェブアプリケーションの CSRF 脆弱性を分析することができます。実装された CSRF 保護メカニズムの有効性を評価し、潜在的な弱点と改善提案に関する洞察を提供します。

動作方法

1. エンドポイント分析: プラグインはアプリケーションのエンドポイントを検査し、CSRF 保護が不足しているエンドポイントを特定します。
2. 保護メカニズム評価: トークン検証、ダブルサブミットクッキー、SameSite 属性、オリジン検証を含む CSRF 保護メカニズムの実装を検証します。
3. レポート生成: 脆弱なエンドポイント、潜在的な攻撃シナリオ、推奨される修正を明記した詳細レポートを生成します。

このスキルを使用するタイミング

このスキルは以下の場合に有効になります：

• 既存の CSRF 保護対策を検証する必要がある
• ウェブアプリケーション内の CSRF 脆弱性を特定する必要がある
• 保護されていないエンドポイントに関連するリスクを評価する必要がある
• CSRF 脆弱性と推奨される修正を概説するレポートを生成する必要がある

例

例 1: 保護されていない API エンドポイントの特定

ユーザーリクエスト：「validate csrf」

スキルは以下を実行します：

1. アプリケーションの API エンドポイントを分析します。
2. 機密データの変更を処理するものなど、CSRF 保護が不足しているエンドポイントを特定します。
3. 脆弱なエンドポイントと潜在的な攻撃ベクトルを概説するレポートを生成します。

例 2: SameSite クッキー属性の確認

ユーザーリクエスト：「Check for csrf vulnerabilities in my application」

スキルは以下を実行します：

1. アプリケーションのクッキー設定を分析します。
2. SameSite 属性が CSRF 攻撃を軽減するために適切に設定されていることを確認します。
3. SameSite 属性が不足しているクッキーまたは不安全な設定を使用しているクッキーをレポートします。

ベストプラクティス

• 定期的な検証: 開発ライフサイクルの一部として CSRF 保護メカニズムを定期的に検証します。
• 包括的なカバレッジ: すべての状態変化操作が CSRF 攻撃から保護されていることを確認します。
• セキュアな設定: 強力なトークン生成と適切な SameSite 属性設定など、CSRF 保護メカニズムのセキュアな設定を使用します。

統合

このスキルは他のセキュリティプラグインと組み合わせて使用でき、ウェブアプリケーションの包括的なセキュリティ評価を提供することができます。たとえば、脆弱性スキャナーと組み合わせて、CSRF の弱点に加えて他の潜在的な脆弱性も特定できます。

前提条件

• {baseDir}/ のコードベースおよび設定ファイルへのアクセス
• 必要に応じてセキュリティスキャニングツールがインストールされていること
• セキュリティ標準およびベストプラクティスの理解
• セキュリティ分析操作の権限

手順

1. セキュリティスキャン範囲とターゲットを特定します
2. スキャンパラメーターと閾値を設定します
3. セキュリティ分析を体系的に実行します
4. 脆弱性とコンプライアンスギャップについての調査結果を分析します
5. 深刻度と影響に基づいて問題の優先度を付けます
6. 修復手順を含む詳細なセキュリティレポートを生成します

出力

• 脆弱性の詳細を含むセキュリティスキャン結果
• 標準別のコンプライアンスステータスレポート
• 深刻度別に優先順位付けされたセキュリティ問題の一覧
• コード例を含む修復推奨事項
• ステークホルダー向けの要約報告書

エラーハンドリング

セキュリティスキャンが失敗した場合：

• ツールのインストールと設定を確認します
• ファイルとディレクトリのアクセス権限を確認します
• スキャンターゲットのパスを検証します
• ツール固有のエラーメッセージを確認します
• 依存関係チェックのためのネットワークアクセスを確認します

リソース

• セキュリティ標準ドキュメント (OWASP、CWE、CVE)
• コンプライアンスフレームワークガイドライン (GDPR、HIPAA、PCI-DSS)
• セキュリティスキャニングツールドキュメント
• 脆弱性修復のベストプラクティス